“Um terça da Internet está na mira dos ataques”.

Esta mensagem atraente e instrutiva vem de uma equipe de pesquisadores que recentemente exploraram o cenário de ameaças apresentado por ataques de negação de serviço (DoS) em todo o mundo. O que eles relataram ter encontrado é, segundo suas palavras, "uma estatística que chama à atenção". No entanto, antes de entrar nos detalhes de sua pesquisa, reunidos em um artigo intitulado “Millions of Targets Under Attack: a Macroscopic Characterization of the DoS Ecosystem”, será necessária uma breve explicação sobre os ataques DoS, assim como seus irmãos mais velhos em alcance, os ataques distribuídos de negação de serviço (DDoS).

Ambos são comumente executados inundando o alvo com uma maré de tráfego fictício, com o único objetivo de colapsar seu servidor e interromper seus serviços. Os ataques DoS são um por um, por isso foram substituídos pelos DDoS para multiplicar os efeitos. O último envolve campanhas compostas por exércitos de dispositivos recrutados em botnets que, como soldados mal-intencionados, alinhados e marchando ao mesmo tempo, visam desligar o alvo.

Em um aceno à magnitude do problema que os ataques DDoS representam pela estabilidade e confiabilidade da Internet, a equipe de seis pesquisadores realizou uma análise longitudinal do ecossistema DDoS, “introduzindo e aplicando uma nova estrutura para permitir uma caracterização macroscópica da ataques, alvos de ataque e comportamentos de mitigação".

As descobertas da pesquisa, baseadas em dados que abrangem o período de março de 2015 a fevereiro de 2017, foram anunciadas na Conferência de Medição da Internet, realizada em Londres no ano passado.

"Um terço das redes /24 recentemente estimadas ativas na Internet sofreram pelo menos um ataque de negação de serviço (DoS) nos últimos dois anos", segundo a primeira descoberta do estudo realizado por pesquisadores da Universidade de Twente, na Horlanda; Universidade da Califórnia, em San Diego; e a Universidade do Sarre, na Alemanha. O sufixo “/ 24” ou “barra 24” indica o número de bits fixos em uma ID de rede.

Dados

DoS attacks

Depois de analisar as informações por dois anos, os autores do estudo contabilizaram 20,9 milhões de ataques que apontavam para 6,34 milhões de endereços IP únicos. Eles observaram um total de 2,19 milhões de blocos de rede únicos /24 que hospedam pelo menos um alvo.

Para colocar isso em perspectiva, representa um pouco mais de um terço das estimativas recentes do espaço de endereços IPv4 ativamente utilizados. O IPv4 é a quarta (e ainda frequente) versão do protocolo de Internet que permite aos usuários conectar seus dispositivos à Internet.

Tabela 1: Dados de ataques DoS do relatório.

Durante este período de dois anos, foi possível observar uma média diária de quase 30.000 ataques, que um dos autores do estudo, Alberto Dainotti, descreveu como "incrivelmente, mil vezes maior do que o que outros relatórios mostraram".

Além disso, a co-autora Anna Sperotto expressou sua preocupação de que isso ainda não representa o quadro completo. "Embora o nosso estudo empregue técnicas de monitoramento de última geração, já sabemos que não vemos alguns tipos de ataques DoS", disse.

Para detectar eventos de ataque, a equipe investigou duas fontes de dados brutos que se complementam mutuamente: o Telescopio de Red UCSD, que captura evidências de ataques de DDoS que envolvem endereços IP à sorte e uniformemente falsificados. E os honeypots AmpPot DDoS que rastreiam ataques DdoS de reflexão e amplificação, que envolvem endereços IP falsificados específicos. Os atacantes usam IP spoofing para disfarçar suas identidades em ciberataques.

Alvos

Como esperado, foi possível descobrir que os servidores web eram os principais alvos. "A maioria dos ataques DoS (por exemplo, cerca de 69% para ataques baseados em TCP) foram para servidores web", conforme o estudo.

Uma média de 3% dos sites que terminam em .com, .net e .org foram vítimas de ataques diários porque estavam alojados em endereços IP que eram alvos de ataque.

Vários serviços de grande porte, incluindo empresas que prestam serviços de hopedagem na web, foram identificados como alvos frequentes, em particular o GoDaddy, o Google Cloud e o Wix.

Enquanto isso, a classificação de alvos por país coincide em grande parte com os padrões de uso de endereços da Internet, embora com algumas exceções notáveis. Usando os dados do Telescópio, descobriu-se que o Estados Unidos hospedaram mais de 25% dos endereços IP enfocados pelos ataques.

Para ataques de reflexão, a proporção aumenta para 29%, com ambos os números mais ou menos a par com o uso do espaço de endereços do país. A China ocupa o segundo lugar com cerca de 10% para ambos os tipos de ataques, o que também é proporcional às estatísticas de uso do espaço de endereços da Internet.

Em contrapartida, o Japão, enquanto ocupa o terceiro lugar no número de endereços da Internet, ficou em 14º e 25º, respectivamente, em números de alvos de DoS. Por outro lado, a Rússia e a França sofrem mais ataques do que prevê o uso estimado do espaço na Internet.

Tabela 2: Endereços IPs atacados por país.

O que fazemos com essa informação?

Olhando além, os pesquisadores nos deram uma idéia da amplitude e escala do problema DoS, que claramente ultrapassa os ataques extremamente paralisantes divulgados pela imprensa.

A equipe também notou os ataques crescentes provocados pelo aumento do fenômeno DoS-as-a-Service (também conhecido como “stressers” ou “booters”), o que permite que qualquer usuário de Internet mal-intencionado possa realizar ataques poderosos. O estudo serve claramente para destacar a necessidade de se manter à frente da crescente onda de ameaças que surgem dos ataques DoS.

A dimensão dos prejuízos que os ataques de negação de serviço podem causar ficou bastante clara em outubro de 2016, quando uma série de ataques DDoS foram lançados contra os sistemas usados por fornecedores do Sistema de Nomes de Domínio (DNS) Dyn.

O ataque, que fez com que uma série de serviços on-line de alto nível ficassem indisponíveis, foi ativado usando milhares de dispositivos comprometidos da Internet das Coisas em uma rede de bots chamada Mirai e deve servir como uma clara advertência do prejuízo que a negação de serviço pode causar.